$type=blogging$count=16$readmore=no$labels=no$snippet=no$meta=no

$type=one$count=10 $type=blogging$count=16$readmore=no$labels=no$snippet=no$meta=no Yazılarımız DMCA lisansı ile korunmaktadır.Kaynak gösterilmeden alıntı yapılamaz.!

Takdir Ediliyorsan Değil Taklit Ediliyorsan Başarmışsındır.
Bumerang - Yazarkafe

DMCA.com Protection Status

DumpIt ile RAM İmajı Alma İşlemi Nasıl Yapılır?




Merhaba Değerli Takipçilerim,

Bu yazımda, Adli Bilişim için olmazsa olmazlardan bir tanesi olan RAM (Random Access Memory) imajının önemini ve nasıl alındığını anlatıyor olacağım. Öncelikle hepimizinde bildiği üzere RAM, geçici hafıza olarak kullanıldığından kalıcı bir depolama yapmamakta ve kendisine gelen gücün kesilmesi durumunda, üzerindeki tüm bilgileri kaybetmektedir. 

RAM, bilgisayarların o an çalıştırdığı prosesleri, internet bağlantılarını, dokümanları, konsol ekranına yazılan komutları, sistemi kullanan kullanıcıları, kullanıcılara ait şifreleri ve tarayıcı geçmişleri gibi bir çok bilgiyi tutmaktadır. 

Adli Bilişim açından değerlendirildiğinde ise, olay yeri müdahalesi (incident response) yapıldığında şüpheli ve açık olan bilgisayarların hemen vakit kaybedilmeden o anki RAM imajının alınması gerekmektedir çünkü o an bilgisayar üzerinde varolan şüpheli bağlantılar, malware yazılımları, o anki aktif kullanıcının kim olduğu, çalışan aktif proseslerin ne olduğu gibi bilgileri elde etmek için bu işlemi yapmak oldukça önemlidir. 

Günlük yaşantımızda sürekli denk geldiğimiz Cryptolocker saldırılarında bile RAM imajı almak hayat kurtarabilecek bir öneme sahiptir çünkü Cryptolocker virüsü ile şifrelenmiş verilerin şifre çözmek için kullanılan anahtarını (key) RAM imajınan kurtarmak mümkün olabilmektedir.

Şimdi ise RAM imajını nasıl alacağımıza bakalım...

RAM imajı almak için birden fazla ücretsiz yazılım mevcut, yaygın olarak kullanılan birkaçı FTK imager, DumpIt, Ram Capturer gibi yazılım ve araçlardır.

DumpIt ile Ram İmajı Alma

DumpIt, 32 ve 64 bit Windows işletim sistemlerinin fiziksel hafızasının imajlarını almak için kullanılan ücretsiz bir araçtır. DumpIt aracı ile analiz işlemi yapılamamaktadır
  • 1. KURULUM 
DumpIt’i indirmek için https://my.comae.io/login?redirect=/dashboard adresine gidilerek aşağıdaki şekilde yer alan bölümden sisteme üye olunur. 

Siteye üye olunup giriş yapıldıktan sonra “Download Comae Toolkit”  butonuna tıklatıp sisteminize uygun DumpIt versiyonunu indirebilirsiniz.

  • 2. KULLANIMI
DumIt herhangi bir kuruluma gerek kalmadan tıkla çalıştır olarak kullanıldığından programı çift tıklayarak çalıştırabilirsiniz. 


Çalıştırıldıktan sonra oluşan ekran görüntüsü aşağıdaki gibi olacaktır.


Çalışınca kullanıcıya, “Proced with the acquisition ? [y/n]” diye sormaktadır. y yazıp enter tuşuna basıldığından RAM imajını DumIt klasörünün içerisine almaya başlayacaktır. Oluşan örnek ram imajı aşağıdaki şekilde görülmektedir.


Oluşan .dmp uzantılı RAM imajını Volatility gibi ram imajı inceleme araçları ile ücretsiz olarak inceleyebilirsiniz. Volatility ile RAM imajı incelemeyi bir sonraki yazımda sizlere anlatıyor olacağım... 

Umarım sizler için faydalı bir anlatım olmuştur. Bir sonraki yazımda tekrar görüşmek üzere... Esenle kalın...



YORUMLAR⤵

Ad

adli bilişim adli bilişim eğitimi Adli Bilişim İncelemelerinde Foremost ile Veri Kazıma İşlemi adli bilişim Malware adli bilişim mühendisi adlibilisim Android Hacking android hackleme android injection Android ve IOS İşletim Sistemlerinin Veritabanları ve Görevleri Nelerdir? cobalt strike analizi cobalt strike detect cobalt strike saldırısı cobalt strike tespiti digital forensic DumpIt DumpIt ile ram imajı alma dumpit indir foremost How detect Jigsaw Ransomware Malware ibrahim baloglu ibrahim baloğlu image live imaj canlandırma java JAVA ile Rss Üzerinden Veri Çekme Jigsaw Ransomware Malware jsoup kurulumu jsoup rss kodlama linux veri kurtarma live image malware Malware tespiti metasploit android hacking metasploit nedir mobil uygulamaların adli bilişim incelemesi Yaani Mail Uygulamasının Adli Bilişim Açısından İncelenmesi NTUSER.DAR ptt mesaj uygulaması ptt mesenger ptt mesenger indir ptt mesenger nedir ptt messenger purple team saldırısı ram ram imajı alma ram imajı nedir registry forensic registry parse rss veri çekme SAM sibergüvenlik SOFTWARE SYSTEM veri kurtarma volatility volatility ile ram inceleme volatility kullanımı volatility ram imajı windows forensic windows forensic eğitimi Windows şifresi elde etme yaani mail yaani mail adli bilişim incelemesi yani mail nedir yeni
false
ltr
item
İbrahim BALOĞLU | Adli Bilişim | Siber Güvenlik: DumpIt ile RAM İmajı Alma İşlemi Nasıl Yapılır?
DumpIt ile RAM İmajı Alma İşlemi Nasıl Yapılır?
https://4.bp.blogspot.com/-gZ-__-8O1Q0/Wwntvdu4GEI/AAAAAAAACjg/ljstQ1GzWRQuAdYLhnv3wOOBWD31HESwACEwYBhgL/s320/b.png
https://4.bp.blogspot.com/-gZ-__-8O1Q0/Wwntvdu4GEI/AAAAAAAACjg/ljstQ1GzWRQuAdYLhnv3wOOBWD31HESwACEwYBhgL/s72-c/b.png
İbrahim BALOĞLU | Adli Bilişim | Siber Güvenlik
https://www.ibrahimbaloglu.com/2018/05/dumpit-ile-ram-imaj-alma-islemi.html
https://www.ibrahimbaloglu.com/
https://www.ibrahimbaloglu.com/
https://www.ibrahimbaloglu.com/2018/05/dumpit-ile-ram-imaj-alma-islemi.html
true
631381070093278817
UTF-8
Konu Bulunamadı. Tümünü Gör Devamını Oku Yanıtla Yanıtlamaktan Vazgeç Sil Yazar Ana Sayfa Sayfa Yazılar Tümünü Gör Size Özel Başka Önerilerimiz⤵ Etiket Arşiv ARANAN Aradığınız kelimeyle alakalı henüz bir konumuz yok :( Ana Sayfa Pazar Pazartesi Salı Çarşamba Perşembe Cuma Cumartesi Sun Mon Tue Wed Thu Fri Sat Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık Şimdi 1 dk. önce $$1$$ dk önce 1 saat önce $$1$$ saat önce Dün $$1$$ gün önce $$1$$ hafta önce 5 haftadan önce